Analise de Fluxo de Trafego
OBSERVAÇAÕ INICIAL:
As ferramentas de analise são destinados para analise. Estas ferramentas configuram as interfaces em modo PROMISCUO e especialmente em interfaces de rádio pode causar interrupção do trafego normal.
O modo PROMISCUO pode ficar ativado, inclusive depois ter fechado o aplicativo, causando interrupção de trafego normal por este motivo. Por segurança sempre reinicie o servidor após uso destas ferramentas quais especialmente são:
Modo SCAN
dstumbler
trafshow
tcpdump
As ferramentas descritas aqui facilitam o serviço do suporte mas não deixe de consultar a parte Sugestões para o Suporte neste manual.
Para poder entender os resultados destes aplicativos devemonos acostumar com:
IP e MAC
Protocolo e portas TCP/IP
Mensagens de erro em inglês
IP destino e origem
Quando usamos ferramentas específicas para analise de trafego fechamos antes todos os programas na máquina com o IP a ser monitorado. Quando abrimos então o progama em questão podemos ver o fluxo sem estar confundidos por outros protocolos e portas.
A ferramenta mais efetiva é o arplist. Executando o mesmo comando aparece na tela algo semelhante a:
| 00:02:2d:15:c6:44 | | (200.152.80.19) | | wip-t.matik.com.br |
00:e0:7d:8b:8f:25 | | (200.152.80.34) | | wip-c.matik.com.br |
00:02:2d:15:69:5e | | (200.152.80.67) | | wip-r.matik.com.br |
00:02:2d:1d:3a:dd | | (200.152.82.180) | | cyb.matik.com.br |
00:90:96:25:64:57 | | (200.152.82.190) | | nbr.matik.com.br |
00:60:83:39:38:a1 | | (200.152.83.1) | | rt.matik.com.br |
00:01:03:dd:5b:2b | | (200.152.83.8) | | dns.matik.net.br |
00:01:02:67:25:56 | | (200.152.83.11) | | wsrv.matik.com.br |
00:11:d8:33:52:a0 | | (200.152.83.14) | | msrv.matik.com.br |
00:0d:ed:e1:f2:fc | | (200.152.83.35) | | ata.matik.com.br |
00:e0:98:95:9c:e4 | | (200.152.83.39) | | nel.matik.com.br |
Esta lista de três colunas mostra os IPs com os seus respeitivos enderenços MAC atualmente ligados ao sistema WIP. Uma medida muito efetiva para ver rápido se um certo IP tem acesso ou não tem. A outra informação útil está na última coluna porque caso o nome do IP não aparece sabemos de que o DNS reverso ou não está configurado ou não está funcionando. De qualquer forma temos um resultado rápido para saber se tal IP está na rede ou não. O comando arplilst ainda pode ser executado anexando o nome da interface da rede para ver soemente os Ips num segmento de rede, por exemplo arplist xl2.
O teste mais rápido para saber se o problema está em alguma limitação do firewall do WIP-Control ou no cliente ou na Internet é usar o aplicativo wip-fw. Use-o assim:
wip-fw abre - para deativa-lo por completo
wip-fw fecha - fechar o firewall novamente
wip-fw test - fecha por 5 minutos e volta abrir
wip-fw socorro - abre forçado desativando NATD também
IMPORTANTE: Quando abrimos o firewall desta forma o controle de banda fica também aberto. Dependendo do uso da sua rede você podeeria encontrar imediatamente um trafego muito alto de entrada ou saída
Portanto não use wip-fw por qualquer motivo. wip-fw seria a ferramenta de último recurso. Resumindo as funções:
wip-fw abre abre o firewall para poder efetuar alguns testes. Caso neste periodo o problema desaparece a causa poderia estar na configuração do WIP-Control. Mas não se ilude demais, obviamente com tudo aberto QUALQUER coisa possa estar funcionando.
wip-fw fecha fecha o firewall novamente após ter aberto com o comando anterior. O efeito para certo trafego e controle de banda pode não ser imediato e as vezes pode demorar alguns minutos até tudo normalizar.
wip-fw socorro não deveria ser usado, é um último recurso mais destinado ao suporte da Matik para certificar se certos problemas estão relacionados com a configuração do NATD caso estiver em uso.
wip-fw test ajuda em verificar novas configurações. Este comando espera de que tenha executado antes o wip-fw abre. Uma vez aberto pode consertar o possível problema ou configurar um novo parametro, feito isso execute wip-fw test para fechar o firewall, mante-lo fechado por cinco minutos para dar o tempo para testar a alteração. Após cinco minutos o firewall será reaberto. Lembre! de usar uma outra console ou terminal ou sessão ssh para fazer os testes. A tela onde executou o comando ficará inutilizável durante estes cinco minutos.
Comandos de uso freqüente
wip-sec
permite acompanhar online o log do firewall. Aparecem os pacotes rejeitados com IP, protocolo e porta de origem e destino. Dependendo da quantidade de trafego a tela pode correr muito rápido e para entende-lo devemos aplicar filtros ou interromper com
ctrl+c o que seria o mesmo comando para encerrar. Para filtrar os resultados e ver somente o que interessa podemos usar um dos exemplos ou qualquer expressão regular:
wip-sec | grep 200.1.1.1
para ver trafego relacionado com o IP 200.1.1.1
wip-sec | grep xl2
para ver trafego somente na interface xl2
wip-sec | grep :143
para ver trafego somente da porta 143
wip-sec | grep udp
para ver trafego somente do protocolo udp
Quando queremos obter resultados mais específicos podemos usar o aplicativo trafshow. Ele segue as regras e aceita os parametros de tcpdump e apresenta os resultados um pouco mais legíveis na tela. Um comando pratico seria:
trafshow -i xl0 -n host 200.1.1.1 and tcp port 25
para ver o trafego do IP 200.1.1.1 com o protocolo tcp na porta 25. A palavra chave "and" é o juntor para acrescentar outros critérios e pode ser prefixado com "not" para excluir certos protocolos. Por exemplo podemos estar conversando com o nosso suporte de campo na console do cliente e com o MSN aberto mas o que nos interessa é um problema de navegador. Neste caso pode ser útil de executar:
trafshow -i xl0 -n host 200.1.1.1 and tcp and not tcp port 1863
Na tela do trafshow o resultado aparece em colunas ordenado por destino e origem:
Caso você tiver curiosidade como usar o trafshow consulte "man trafshow" ou man tcpdump ou procure um manual proprietário na Internet.
Com o aplicativo bmon pode visualizar a quantidade de trafego que passa no momento por cada interface. É só digitar bmon e aparece:
Aqui pode escolher a Interface com as teclas de movimentação do teclado ou apertar "g" par aver a parte gráfica.
|
|
Última Atualização ( 16 de July de 2005 )
|
